Érzékelhetően nő a lengyel kritikus infrastruktúra elleni támadások száma és intenzitása. A helyi belbiztonsági ügynökség, az ABW (Agencja Bezpieczeństwa Wewnętrznego) szerint leginkább a a különböző OT (Operational Technology) rendszerek, azon belül is az ICS-ek, azaz az ipari irányítórendszerek ( Industrial Control System) kerültek célkeresztbe, írja összefoglalójában a SecurityWeek.

A támadások többségét eddig sikerrel akadályozták meg. Kormányzati források szerint ezek között voltak olyanok is, melyek teljes települések vízellátását veszélyeztették. Az ABW akkor ezekről a támadásokról nem osztott meg információkat. A napokban azonban közzétettek egy összesített jelentést 2024-2025 legsúlyosabb incidenseiről.

A belbiztonságiak szerint az elmúlt két évben több lengyel település víztisztító létesítményébe is sikerült behatolniuk kiberbűnözőknek. Leggyakrabban az ICS-ek sérülékenységét használták ki. A legnagyobb kockázatot az jelentette, hogy átmenetileg olyan magas szintű hozzáférést szereztek, aminek birtokában módosíthatták volna a berendezések működési paramétereit, azaz közvetlenül veszélyeztették a közüzemi vízellátást.

Nagyobb figyelmet kell szentelni az OT-biztonságnak

Az ABW szakértői két fő támadási vektort azonosítottak: az érintett közműszolgáltatóknál lazán kezelték a jelszóhasználati szabályokat (enyhék voltak, és még azokat sem igyekeztek betartatni), és az OT számos elemét kinyitották az internet felé. Ezek régóta ismert problémák. Ilyen sérülékenységeken keresztül támadták tavaly év végén orosz hekkerek a lengyel energialétesítményeket.

A mostani jelentés a vízhálózat mellett a szenyvíztisztító rendszerekben és a hulladékégető létesítményekben is megtalálta a hekkerek nyomait. Szinte minden esetben olyan információkra utaztak (szerződések, projektdokumentációk, hitelesítési adatok), amelyek birtokában teljes mértékben átvehetik a rendszerek irányítását.

Bár lengyel belbiztonságiak a támadási kísérletek többsége mögött hacktivista csoportokat azonosítottak, nem kizárt, hogy a valódi megrendelő – és a sikeres támadások végső haszonhúzója – valamelyik külföldi kormányszerv, leginkább valamelyik orosz titkosszolgálat.

Az ABW több orosz APT-csoportot is említ a jelentésben: többek között az APT28-at (más néven Fancy Bear), a Microsoftot is meghekkelő APT29-et (más néven Cozy Bear vagy Midnight Blizzard), valamint a fehérorosz kormányhoz köthető UNC1151-et, amely közreműködött az orosz inváziót előkészítő kibertámadásokban.